Sicherheitsforscher von Google und iVerify haben ein hochentwickeltes iOS-Exploit-Kit namens Coruna entdeckt, das ursprünglich von russischen Staatsakteuren gegen ukrainische Nutzer eingesetzt wurde und nun von chinesischen Kriminellen für massive Angriffe missbraucht wird.
Ein mächtiges Exploit-Kit für iOS-Geräte sorgt derzeit in der Cybersicherheitscommunity für Aufmerksamkeit. Das Kit mit dem Namen Coruna enthält 23 verschiedene Exploits, die in fünf kompletten Exploit-Ketten organisiert sind und die iOS-Versionen 13 bis 17.2.1 angreifen können.
Zum ersten Mal berichteten Google und das Unternehmen iVerify am selben Tag unabhängig voneinander über diese Bedrohung. Google Threat Intelligence Group (GTIG) war der Entdeckung im Februar 2025 zum ersten Mal begegnet. Nach gründlicher Analyse identifizierten die Forscher, dass die Entwickler das Kit intern Coruna genannt hatten. iVerify kam eigenständig zu ähnlichen Erkenntnissen und führte mehrere Wochen lang eine unabhängige technische Analyse durch.
Das eigentlich Alarmierende: Dieses Exploit-Kit gilt als Nation-State-Grade-Werkzeug – also als Werkzeug auf dem Niveau von Geheimdiensten – und ist nun auch in den Händen von kriminellen Organisationen im großen Stil gelandet. Die Sicherheitsexperten von iVerify bezeichnen dies als das erste Mal, dass eine Massenausbeutung von iOS-Geräten öffentlich dokumentiert wurde.
Die Herkunftsgeschichte ist bemerkenswert: GTIG verfolgte das Kit über längere Zeit und entdeckte erste Einsätze durch einen kommerziellen Überwachungsanbieter gegen Kunden. Danach verfolgten sie die Nutzung desselben Kits durch UNC6353, eine mutmaßlich russische staatliche Spionagegruppe, die ukrainische Nutzer attackierte. Später erschien das Kit in einer breiteren Kampagne der chinesischen Kriminellengruppe UNC6691, die auf finanzielle Gewinne abzielt.
Bei der Analyse der obfuskativen Exploits stießen GTIG-Forscher auch auf eine Debug-Version des Kits, die alle Exploits offenlegten und deren interne Codenamen preisgab – einschließlich der Bezeichnung Coruna. Im Laufe des Jahres 2025 entdeckte GTIG das JavaScript-Framework des Kits auf gefälschten chinesischen Websites, darunter eine Fake-WEEX-Krypto-Börsenwebseite. Diese Seite versuchte, nicht-iOS-Besucher dazu zu bewegen, mit einem iPhone oder iPad zurückzukehren. Sobald iOS-Nutzer die Seite besuchten, wurde das Exploit-Kit via verstecktem iFrame automatisch deployed.
Die Methodik dient mehreren Zwecken: Der Besuch einer Kryptobörsenwebseite deutet auf potenzielle Kryptowallet-Besitztümer hin, während die Nutzung eines iOS-Gerätes direkt zur Lieferung des Exploit-Kits führt. Auf diese Weise konnte GTIG alle obfuskativen Exploits sowie deren Payloads extrahieren.
iVerify war auf ähnliche Weise vorgegangen und fand ebenfalls eine verdächtige Website (mxbc-v2[.]tjbjdod[.]cn). Das Team extrahierte eine 1-Click-Exploit-Kette, die Remote Code Execution in Safari und eine Local Privilege Escalation ermöglichte – essenzielle Komponenten für die vollständige Kontrolle über infizierte Geräte. iVerify bezeichnete das Kit zunächst als CryptoWaters wegen seiner auf Kryptowallet abzielenden Module.
Die gute Nachricht für iPhone-Nutzer: Das Kit ist gegen die neuesten iOS-Versionen unwirksam. Apple-Nutzer sollten auf iOS 17.3 oder neuer aktualisieren. Sollte ein Update unmöglich sein, empfehlen die Sicherheitsforscher dringend, den Lockdown Mode zu aktivieren – GTIG fand heraus, dass Coruna sich automatisch aus dem Gerät zurückzieht, wenn dieser Modus aktiv ist oder der Nutzer im privaten Browsing-Modus surft.
Both iVerify und GTIG werden ihre Analysen fortsetzen und in absehbarer Zeit weitere Details veröffentlichen. Die umfangreichsten Informationen außerhalb der Forschungsteams dürften aus einer Kombination der Erkenntnisse beider Unternehmen entstehen.
Quelle: SecurityWeek